<div dir="ltr">I run with your command. I told you in previous messages. Snort doesnt capture any packets with this command,<div><br></div><div>And Result </div><div><br></div><div><div>Run time for packet processing was 22.16156 seconds</div>
<div>Snort processed 0 packets.</div><div>Snort ran for 0 days 0 hours 0 minutes 22 seconds</div><div>   Pkts/sec:            0</div></div><div><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, Jun 20, 2014 at 1:50 PM, Meysam Farazmand <span dir="ltr"><<a href="mailto:farazmand.meisam@...5119...827..." target="_blank">farazmand.meisam@...11827...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><p dir="ltr">Hi Erdem,</p>
<p dir="ltr">Maybe it would better to install snort and dependencies from source. But no matter. Run snort with this command:</p>
<p dir="ltr">snort -v -c /etc/snort/snort.conf -Q --daq nfq --daq-var device=eth0</p>
<p dir="ltr">I put my snort config file in /etc/snort. So if you put it in another location, change it in the above command. Also note to enable nfq daq in snort config file.</p><div class="HOEnZb"><div class="h5">
<div class="gmail_quote">On Jun 20, 2014 3:12 PM, "Erdem Çulcu" <<a href="mailto:erdem@...16870..." target="_blank">erdem@...391...6870...</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div dir="ltr">Hi Meysam,<div><br></div><div>I installed these libs  and  libdnet-1.12. </div><div><br></div><div><img src="cid:ii_146b8db7f8a89efc" alt="Inline image 1" width="426" height="164" style="margin-right:0px"><br>


</div><div class="gmail_extra"><br></div><div class="gmail_extra">And I run --daq-list command </div><div class="gmail_extra"><br></div><div class="gmail_extra"><div class="gmail_extra">Available DAQ modules:</div><div class="gmail_extra">


pcap(v3): readback live multi unpriv</div><div class="gmail_extra">nfq(v7): live inline multi</div><div class="gmail_extra">ipfw(v3): live inline multi unpriv</div><div class="gmail_extra">dump(v2): readback live inline multi unpriv</div>


<div class="gmail_extra">afpacket(v5): live inline multi unpriv</div><div><br></div><div>Snort gives this response.</div><br><div class="gmail_quote">On Fri, Jun 20, 2014 at 12:32 PM, Meysam Farazmand <span dir="ltr"><<a href="mailto:farazmand.meisam@...11827..." target="_blank">farazmand.meisam@...11827...</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><p dir="ltr">Hi Erdem,</p>
<p dir="ltr">Did you installed nfq library from <a href="http://netfilter.org" target="_blank">netfilter.org</a>?</p>
<div class="gmail_quote"><div><div>On Jun 20, 2014 1:55 PM, "Erdem Çulcu" <<a href="mailto:erdem@...16870..." target="_blank">erdem@...16870...</a>> wrote:<br type="attribution"></div></div>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div><div>
<div dir="ltr">Hi, <div><br></div><div>I am new on Snort</div><div><br></div><div>I installed with guide and run IDS mode.</div><div><br></div><div>I have two problems. </div><div><br></div><div>Firstly, Snort handle only host machine packets. I write some rules example:</div>




<div>alert tcp any any -> any any (content:"<a href="http://www.facebook.com" target="_blank">www.facebook.com</a>";msg:"Facebook Accessing";sid:1000001;)</div><div><br></div><div>This rule works only machine which installed Snort. Other machines accesses are not handled.</div>




<div><br></div><div>Other problem is Inline Mode.</div><div><br></div><div>I run with this command </div><div><br></div><div>snort --daq nfq -Q -c /etc/snort/snort.conf  --daq-dir /usr/local/lib/daq --daq-var device=eth0 -i eth0<br>




</div><div><br></div><div>Snort gives this error</div><div><br></div><div><div>ERROR: Can't initialize DAQ nfq (-7) - The nfq DAQ module does not support interface or readback mode!</div></div><div><br></div><div>If I remove "-i eth0", Snort works but do not handle any packets</div>




<div><br></div><div>Thanks for replies</div><div><br></div><div>Good Works</div></div>
<br></div></div>------------------------------------------------------------------------------<br>
HPCC Systems Open Source Big Data Platform from LexisNexis Risk Solutions<br>
Find What Matters Most in Your Big Data with HPCC Systems<br>
Open Source. Fast. Scalable. Simple. Ideal for Dirty Data.<br>
Leverages Graph Analysis for Fast Processing & Easy Data Exploration<br>
<a href="http://p.sf.net/sfu/hpccsystems" target="_blank">http://p.sf.net/sfu/hpccsystems</a><br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br></blockquote></div>
</blockquote></div><br></div></div>
</blockquote></div>
</div></div></blockquote></div><br></div>